az ezerarcú publikálás
DESCRIPTION
Az ezerarcú publikálás. …az ISA Server 2006 segítségével. Gál Tamás [email protected] Microsoft Magyarország. Tartalom. Típusok és csoportok Komponensek és technikák Listener, hitelesítés, delegálás, SSO Webszerver publikálás demó x2 Szimpla szerver publikálás demó. - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/2.jpg)
TartalomTípusok és csoportokKomponensek és technikák
Listener, hitelesítés, delegálás, SSOWebszerver publikálás demó x2Szimpla szerver publikálásdemó
![Page 3: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/3.jpg)
Típusok és csoportokPublikálás
A kiszolgálóink szolgáltatásaink biztonságos közzétételeKomoly rizikófaktorNagyon sok segítség az ISA 2006-ban
Csoportosítási szempontokBelső vs. külső (pl. Internet)Integrált vs. önálló kiszolgálóSzimpla szerver vs. webszerver
![Page 4: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/4.jpg)
Komponensek és technikákA listener
Figyel, szűr, szabályozHálózat / IP / port / tanúsítványokTipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener)
Lényegesen összetetteb mint a szimpla
Minden publikáló szabályban kötelező
De 1-1 listener-t több szabályban is felhasználhatunk
További lehetőségek: hitelesítés, SSO
![Page 5: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/5.jpg)
Komponensek és technikákHitelesítés
ISA felhasználási területekBelső (felhasználók, proxy, fw kliens)Belső (szolgáltatások, proxy, fw kliens)Külső (szolgáltatások, proxy)
A hitelesítés lépéseiA kliens jogosultság elfogadása (listener)Érvényesítés az adott névtérben (listener)
Címtár, RADIUS, SecurID, stb.Delegálás (publikáló szabály)
![Page 6: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/6.jpg)
Komponensek és technikákHitelesítés
Hitelesítés típusokNincs HTML űrlap alapú kliens hitelesítési metódus (FBA)
Windows (Active Directory)LDAP (Active Directory)RADIUS, RADIUS OTPRSA SecureID
HTTP alapú kliens hitelesítési metódusBasic, Digest / wDigest, Integrated
SSL kliens tanúsítványon alapuló hitelesítés
![Page 7: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/7.jpg)
Komponensek és technikákHitelesítés
HTTP alapú kliens hitelesítési metódusBasic
A hitelesítési infó szimpla szövegbenDigest / WDigest
A hitelesítési infó hash-elve, azaz nem visszafejthetőTipikusan kiszolgálók között
IntegratedNTLM, Kerberos, Negotiate (megegyezéses)Mindig a tartomány\felhasználó formula
![Page 8: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/8.jpg)
Komponensek és technikákHitelesítés
HTML űrlap (FBA)Jelszó és vagy passcode űrlapokJelszóváltoztatás (pl. OWA)
Időlimit, értesítés a lejáratrólA mobil kliensek automatikusan mást kapnak (User-Agent detektálás)Failback > Basic hitelesítésSzerkeszthető űrlap
Szimpla, OWA, strings.txt26 különböző nyelven, de „megerőszakolás” is
![Page 9: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/9.jpg)
Komponensek és technikákHitelesítés
Multifaktoros hitelesítésLényegesen biztonságosabbA felhasználónak rendelkezni kell jelszóval ÉS
egy tanúsítvánnyal;vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel;vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.
![Page 10: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/10.jpg)
Komponensek és technikákHitelesítés-delegálás
Biztonságos és erőforrás takarékosISA 2004 – erős korlátok
Csak Basic, ergo csak VPN és HTTPSISA 2006 – szinte mindent
Nincs delegálás, és a kliens nem hitelesíthet közvetlenül;Nincs delegálás, de a kliens hitelesíthet közvetlenül;Basic, NTLM, Negotiate (Kerberos / NTLM)Kikényszerített Kerberos-delegálás.
![Page 11: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/11.jpg)
Komponensek és technikákHitelesítés mix
1. Kliens jogosultság elfogadása
2. A jogosultság elküldése..
3. …majd befogadása
4. Hitelesítés-delegálás
5. A publikált szerver válasza
6. A válasz továbbküldése
ISA Server
Hitelesítés-szolgáltató
Kliens
OWA
4
5
2 3
1 6
![Page 12: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/12.jpg)
`
Exchange.Company.Com
SharePoint.Company.Com
Komponensek és technikákSSO1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel
Exchange elérés - SSO nélkülKérem a hitelesítési infókat!Egy e-mailből menjünk tovább a SharePoint oldalunkra!Kérem megint a hitelesítési infókat!
FBA
2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel▪ Exchange elérés – SSO-val▪ Kérem a hitelesítési infókat!▪ Egy e-mailből menjünk tovább a SharePoint oldalunkra!▪ NEM kérem a hitelesítési infókat!
![Page 13: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/13.jpg)
demó
Webszerver publikálás
![Page 14: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/14.jpg)
demó
Webszerver publikálásTanúsítvánnyal
![Page 15: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/15.jpg)
demó
Szimpla szerver publikálás
![Page 16: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/16.jpg)
![Page 17: Az ezerarcú publikálás](https://reader035.vdocuments.mx/reader035/viewer/2022062408/568132f4550346895d99aec3/html5/thumbnails/17.jpg)
Szünet...